Как обеспечить безопасность клиентских сайтовrevisium
Какие организационные меры защиты сайтов гарантируют отсутствие взлома и заражения вирусами, компрометацию доступов, раскрытие конфиденциальных данных. Как управлять доступами, как организовать работу сотрудников и подрядчиков с клиентскими сайтами внутри компании, о чем нужно помнить фрилансерам при работе с сайтами заказчиков.
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежногоrevisium
Как и зачем взламывают сайты, как монетизируют взломанные сайты. Ошибки, заблуждения веб-специалистов или владельцев сайтов про безопасность. Как защищать сайты от взлома.
Как обеспечить безопасность клиентских сайтовrevisium
Какие организационные меры защиты сайтов гарантируют отсутствие взлома и заражения вирусами, компрометацию доступов, раскрытие конфиденциальных данных. Как управлять доступами, как организовать работу сотрудников и подрядчиков с клиентскими сайтами внутри компании, о чем нужно помнить фрилансерам при работе с сайтами заказчиков.
"На Стачку" - Взлом сайта: 5 стадий принятия неизбежногоrevisium
Как и зачем взламывают сайты, как монетизируют взломанные сайты. Ошибки, заблуждения веб-специалистов или владельцев сайтов про безопасность. Как защищать сайты от взлома.
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайтеrevisium
Основные методы автоматизированного поиска вредоносного кода на заражённом сайте с помощью сканеров и антивирусов (Manul, AI-Bolit, ClamAV, Maldet, антивирусных программ);
Эвристический подход к поиску вирусов на сайте в режиме командной строки (всемогущие FIND и GREP);
Поиск вредоносного кода с помощью проксирования и анализа HTTP-трафика (веб-прокси Fiddler, Charles);
Сторонние сервисы (Яндекс.Вебмастер, Quttera, Sucuri SiteCheck);
и другие варианты (VCS, Integrity Check, встроенные антивирусы CMS и т. д.).
Обзор текущей ситуации с веб-атаками на сайты малого и среднего бизнеса, целевые/нецелевые атаки, особенности взломов сайтов 2015-2016 года, тенденции.
Ведущий: Эльдар Бейбутов
Интернет приложения - это интерфейс взаимодействия человеческого сознания с информационной системой. Процесс коммуникации людей и машинного кода не поддается формализации, невозможно учесть все возможные состояния системы в ручную, для этого необходимы интеллектуальные средства защиты, которые будут способны к самостоятельному обучению и принятию решений на основе многофакторных моделей. На докладе поговорим о эвристических механизмах обнаружения атак, автоматическом создании позитивной модели и поведенческом анализе.
Лечение мобильных, поисковых редиректов и дорвеев на сайте revisium
- Зачем взламывают сайты
- Какие виды вредоносного кода встречаются на сайте
- Как поймать, проанализировать и удалить мобильный и поисковый редирект
- Как найти и удалить дорвеи
- Угрозы спам-рассылок, дефейс, нагрузка на cpu
- Реальные кейсы по лечению сайтов компании "Ревизиум"
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
Ведущие: Денис Колегов и Арсений Реутов
Авторы доклада продемонстрируют, как внедрение клиентских сценариев JavaScript может быть использовано для обнаружения и предотвращения различных атак, поиска уязвимых клиентских компонент, определения утечек данных об инфраструктуре веб-приложений, выявления веб-ботов и инструментальных средств нападения. Поделятся собственными методами обнаружения инъекций при помощи синтаксических анализаторов без сигнатур и фильтрующих регулярных выражений, а также рассмотрят реализацию концепции JavaScript-ловушек на стороне клиента для атак SSRF, IDOR, Command Injection и CSRF.
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...QAFest
"86% всех сайтов имеют хотя бы одну серьезную уязвимость" WhiteHat Security
Уязвимости приложений относящиеся к управлению сессиями занимают 2ое место в десятке самых распространенных уязвимостей. Уязвимые к атаке сессии позволяют злоумышленнику перехватить сессию пользователя, получить его логин-пароль , тем самым полностью завладеть данными пользователя в веб-приложении. •рассмотрим, как вообще устроена сессия в веб-приложении
•на живых примерах изучим распространенные в уязвимости веб-сессий
•разберем рекоммендации по устранению данных уязвимостей
•рассмотрим несколько инструменты необходимых при тестировании безопасности веб-сессий
Будут рассмотрены следующие уязвимости: Session Fixation, Session Hijacking, Cross-Site Request Forgery.
Данный доклад позволит вам не только ознакомиться с теорией, как тестировать безопасность веб-сессии, но и даст "стартовые" знания для того, чтобы попробовать это тестирование на своем проекте.
Основные угрозы безопасности для интернет-бизнеса в 2014 годуSiteSecure
Презентация с вебинара "Первые шаги к безопасности и новым клиентам" (запись вебинара - http://www.youtube.com/watch?v=TWlea8tPp3E)
Спикер: Олег Михальский, Лабоработия Касперского / Acronis
Тезисы:
- основные угрозы в 2014;
- основные примеры реализации угроз;
- как угрозы в действительности влияют на интернет-бизнес.
Презентация доклада с Web Camp 2015 года.
История Push уведомлений. APNS и GCM.
Устройство и механика новых web push уведомлений.
Практическое руководство по созданию собственной системы push
Яндекс.Вебмастерская №3: как найти вирусы и вредоносный код на сайтеrevisium
Основные методы автоматизированного поиска вредоносного кода на заражённом сайте с помощью сканеров и антивирусов (Manul, AI-Bolit, ClamAV, Maldet, антивирусных программ);
Эвристический подход к поиску вирусов на сайте в режиме командной строки (всемогущие FIND и GREP);
Поиск вредоносного кода с помощью проксирования и анализа HTTP-трафика (веб-прокси Fiddler, Charles);
Сторонние сервисы (Яндекс.Вебмастер, Quttera, Sucuri SiteCheck);
и другие варианты (VCS, Integrity Check, встроенные антивирусы CMS и т. д.).
Обзор текущей ситуации с веб-атаками на сайты малого и среднего бизнеса, целевые/нецелевые атаки, особенности взломов сайтов 2015-2016 года, тенденции.
Ведущий: Эльдар Бейбутов
Интернет приложения - это интерфейс взаимодействия человеческого сознания с информационной системой. Процесс коммуникации людей и машинного кода не поддается формализации, невозможно учесть все возможные состояния системы в ручную, для этого необходимы интеллектуальные средства защиты, которые будут способны к самостоятельному обучению и принятию решений на основе многофакторных моделей. На докладе поговорим о эвристических механизмах обнаружения атак, автоматическом создании позитивной модели и поведенческом анализе.
Лечение мобильных, поисковых редиректов и дорвеев на сайте revisium
- Зачем взламывают сайты
- Какие виды вредоносного кода встречаются на сайте
- Как поймать, проанализировать и удалить мобильный и поисковый редирект
- Как найти и удалить дорвеи
- Угрозы спам-рассылок, дефейс, нагрузка на cpu
- Реальные кейсы по лечению сайтов компании "Ревизиум"
Waf.js: как защищать веб-приложения с использованием JavaScriptPositive Hack Days
Ведущие: Денис Колегов и Арсений Реутов
Авторы доклада продемонстрируют, как внедрение клиентских сценариев JavaScript может быть использовано для обнаружения и предотвращения различных атак, поиска уязвимых клиентских компонент, определения утечек данных об инфраструктуре веб-приложений, выявления веб-ботов и инструментальных средств нападения. Поделятся собственными методами обнаружения инъекций при помощи синтаксических анализаторов без сигнатур и фильтрующих регулярных выражений, а также рассмотрят реализацию концепции JavaScript-ловушек на стороне клиента для атак SSRF, IDOR, Command Injection и CSRF.
QA Fest 2014. Катерина Овеченко. Безопасность сессий в веб-приложениях: практ...QAFest
"86% всех сайтов имеют хотя бы одну серьезную уязвимость" WhiteHat Security
Уязвимости приложений относящиеся к управлению сессиями занимают 2ое место в десятке самых распространенных уязвимостей. Уязвимые к атаке сессии позволяют злоумышленнику перехватить сессию пользователя, получить его логин-пароль , тем самым полностью завладеть данными пользователя в веб-приложении. •рассмотрим, как вообще устроена сессия в веб-приложении
•на живых примерах изучим распространенные в уязвимости веб-сессий
•разберем рекоммендации по устранению данных уязвимостей
•рассмотрим несколько инструменты необходимых при тестировании безопасности веб-сессий
Будут рассмотрены следующие уязвимости: Session Fixation, Session Hijacking, Cross-Site Request Forgery.
Данный доклад позволит вам не только ознакомиться с теорией, как тестировать безопасность веб-сессии, но и даст "стартовые" знания для того, чтобы попробовать это тестирование на своем проекте.
Основные угрозы безопасности для интернет-бизнеса в 2014 годуSiteSecure
Презентация с вебинара "Первые шаги к безопасности и новым клиентам" (запись вебинара - http://www.youtube.com/watch?v=TWlea8tPp3E)
Спикер: Олег Михальский, Лабоработия Касперского / Acronis
Тезисы:
- основные угрозы в 2014;
- основные примеры реализации угроз;
- как угрозы в действительности влияют на интернет-бизнес.
Презентация доклада с Web Camp 2015 года.
История Push уведомлений. APNS и GCM.
Устройство и механика новых web push уведомлений.
Практическое руководство по созданию собственной системы push
Презентация для вебинара от 22.04.2014. Запись вебинара на Youtube: http://www.youtube.com/watch?v=3ZBLXqOW8mQ&hd=1
Эксперт по информационной безопасности Григорий Земсков – об эффективных методах предотвращения взлома сайта, кражи конфиденциальных данных и заражения вирусами, а также о том, что следует предпринять, если ваш сайт взломали.
www.vk.com/siteprotect - группа ВК “Безопасность сайтов”
twitter.com/revisium - Твиттер компании Revisium
facebook.com/Revisium - страница Revisium в Facebook
www.revisium.com/ru/blog/ - блог Revisium (rss подписка)
«Правильный процесс дает правильный результат». Как грамотно выстроить работу...borovoystudio
«Правильный процесс дает правильный результат». Как грамотно выстроить работу по разработке и продвижению интернет-проекта
Игорь Повшок, руководитель отдела продаж Студии Борового
HighLoad++ 2017
Зал Дели + Калькутта, 7 ноября, 13:00
Тезисы:
http://www.highload.ru/2017/abstracts/2867.html
Последние несколько лет в продуктовой разработке проблемы масштабирования решаются через переход на микросервисную архитектуру. На эту тему было сказано много про подходы, плюсы и минусы, но мало кто рассматривал эту проблематику со стороны фронтенда.
В ЦИАН мы идем по пути перехода от монолита к микросервисам, в том числе и на фронтенде. Задачи и проблемы, с которыми мы сталкиваемся, очень близки к аналогичным на бэкенде, но в то же время совершенно другие.
Последние несколько лет в продуктовой разработке проблемы масштабирования решаются через переход на микросервисную архитектуру. На эту тему было сказано много про подходы, плюсы и минусы, но мало кто рассматривал эту проблематику со стороны фронтенда.
В ЦИАН мы идем по пути перехода от монолита к микросервисам, в том числе и на фронтенде. Задачи и проблемы, с которыми мы сталкиваемся, очень близки к аналогичным на бэкенде, но в то же время совершенно другие.
В своем докладе я расскажу про архитектуру фронтенда (и так называемого миддленда) в ЦИАН: какие задачи перед нами стояли, что мы решили, где мы находимся сейчас и с какими проблемами мы столкнулись.
Полмиллиона юзеров в онлайне без падений: оптимизация высоконагруженного se...Sergey Xek
Полмиллиона юзеров в онлайне без падений: оптимизация высоконагруженного server-side API десктопного приложения. Сергей Аверин, Badoo.
Доклад рассказывает о реально примененных способах оптимизации производительности API компании Badoo для собственных десктоп-приложений: как специфика «много постоянных соединений/однотипные запросы/большая нагрузка» повлияла на стратегию оптимизации производительности.
Что было сделано:
• Планирование архитектуры изначально (fault-tolerance, адаптивные апдейты и тайм-ауты, отказ от попыток восстановления после ошибок для единичных команд).
• Переехали с redis на handlersocket.
• Rate-limiting запросов к демонам.
• Синхронизация записей.
• Асинхронность.
• Записи при достижении порога изменения параметров.
• Профилирование кода, анализ потребления CPU, времени ответа.
• Статистика, статистика и еще раз статистика.
• Pconnect.
Доклад будет интересен:
• системным архитекторам,
• server-side разработчикам.
Сергей Ракутин, коммерческий директор группы компаний UMI
- что важно учитывать при выборе подрядчика;
- расстановка сил, возможностей и цен на рынке;
- разнообразие веб-разработчиков: фрилансеры и веб-студии;
- способы подбора подрядчика на создание сайта и их эффективность;
- ценообразование на рынке сайтостроения;
- от чего зависит конечный результат.
Больше на astramg.ru
5. • “Мой сайт не интересен хакерам…”
• “Мой сайт работает на
коммерческой CMS на надежном
хостинге…”
• “Зачем защищать, если есть
бэкап?...”
• “Мои программисты уже что-то там
безопасно настроили…”
• “Я регулярно меняю пароли…”
Заблуждения
6. • Любой сайт представляет интерес для
хакера: как ресурс или как инструмент
для заработка
• Любой сайт – постоянно под атаками
• Стоимость взлома – копейки
• Доступность инструментов и
методологий
• Безнаказанность хакеров
Реальность
10. • Формируем безопасное окружение
• Изолируем сайты на хостинге
• Обновляем ОС, CMS и плагины
• Активируем проактивную защиту
(внутренний WAF)
• Выполняем Server Hardening
• Выполняем CMS Hardening
• Устанавливаем двухфакторную
аутентификацию на все аккаунты
• Встаем под WAF и ANTI-DDOS
сервисы
• Настраиваем грамотное резервное
копирование
• Запускаем мониторинг
Технические
11. • Делаем безопасными рабочие
места
• Защищаем каналы передачи
данных
• Выбираем надежных подрядчиков
• Управляем доступами к домену,
сайту и хостингу
• Инструктируем сотрудников и
подрядчиков
• Работаем по договору
• Разрабатываем памятку
безопасности и контролируем
исполнение предписаний
• Выполняем регулярный аудит
безопасности
Организационные
12. • Настройки сервера и ПО на нем не
меняются
• CMS, плагины не обновляются
• Нет обмена данными с внешними
ресурсами
• Изменяется только контент сайта
• С сайтом работает постоянная группа
людей
• Перенастраивается сервер, появляются
“соседи” на аккаунте
• DEV/PROD версии сайта, что-то
постоянно дорабатывается, обновляется
CMS
• Активный обмен данными с внешними
ресурсами, активное обновление
контента
• Периодически привлекаются разные
подрядчики
VS
Типы проектов
Динамичный проектСтатичный проект
13. • Перестала работать часть функций
• Нет доступа к некоторым
страницам/разделам сайта
• Перестал работать обмен с
внешними ресурсами
• Сайт начал “тормозить”
• Не работают задачи по расписанию
• Не выполняются предписания,
рекомендации по безопасной работе
сотрудниками и подрядчиками
• Возрастают накладные расходы на
поддержку сайта
О важности тестирования
Организационные проблемыТехнические проблемы
14. • Раскрывают доступы
• Небезопасное рабочее место
• Небезопасный сетевой канал
• Не учитывают элементы защиты на
сайте
• Вносят новые уязвимости
• Размещают вредоносный код
• Оставляют инструменты для
работы с БД, файловые
менеджеры, чувствительные файлы
на хостинге
• Объекты социальной инженерии
О сотрудниках и
подрядчиках
15. Для каждого сайта можно
подобрать вариант защиты –
с максимальной безопасностью и
комфортной работой.
16. • Автоматизация рутины, но
регулярная проверка
• Готовые предписания, сценарии,
руководства
• Мониторинг на разных уровнях
• Участие специалистов по ИБ
Делаем жизнь проще